A las autoridades militares estadounidenses les pilló recientemente por sorpresa la revelación de que los seguidores de actividad digitales de los soldados estaban almacenando la ubicación de sus sesiones de entrenamiento, incluso en los alrededores o dentro de bases militares y emplazamientos clandestinos de todo el mundo. Pero esta amenaza no se limita a Fitbit y otros dispositivos por el estilo. La investigación efectuada recientemente por mi grupo ha demostrado que los teléfonos móviles pueden también seguir el movimiento de sus dueños por tiendas y ciudades de todo el mundo, incluso cuando los usuarios desconectan los servicios de rastreo de ubicación de sus teléfonos.
La vulnerabilidad deriva de la amplia gama de sensores con las que están equipados los teléfonos, no solo GPS e interfaces de comunicaciones, sino también giroscopios y acelerómetros capaces de indicar si un teléfono se encuentra en posición vertical o de lado, y pueden medir también otros movimientos. Las apps del teléfono pueden utilizar esos sensores para efectuar tareas que los usuarios no esperan, como seguir los movimientos de un usuario giro a giro por las calles de una ciudad.
La mayoría piensa que apagar los servicios de geolocalización del teléfono inhabilita este tipo de vigilancia móvil. Pero la investigación que yo he realizado junto con mis compañeros Sashank Narain, Triet Vo-Huu, Ken Block y Amirali Sanatinia en la Universidad Northeastern, en un campo denominado “ataques de canal lateral,” revela de qué forma pueden las aplicaciones evitar o eludir esas restricciones. Hemos revelado cómo un teléfono puede escuchar la marcación digital de un usuario para descubrir una contraseña secreta, y que simplemente llevando un teléfono en el bolsillo podemos comunicar a las empresas datos sobre dónde estamos y hacia dónde vamos.
Suposiciones sobre los ataques
Los encargados de diseñar la protección para un dispositivo o un sistema hacen suposiciones acerca de qué amenazas se producirán. Los coches, por ejemplo, están diseñados para proteger a sus ocupantes de colisiones contra otros coches, edificios, guardarraíles, postes de teléfono y otros objetos que por lo general se hallan en las carreteras o cerca de ellas. No están diseñados para proteger la seguridad de los ocupantes en un coche lanzado por un acantilado o aplastado por la caída de enormes rocas. Sencillamente no es rentable diseñar defensas contra esas amenazas, porque se supone que son extremadamente infrecuentes.
De modo similar, los encargados de diseñar programas y componentes físicos para aparatos informáticos hacen suposiciones acerca de qué podrían hacer los hackers. Pero eso no significa que los dispositivos sean seguros. Uno de los primeros ataques de canal lateral fue detectado en 1996 por el criptógrafo Paul Kocher, que demostró que podía romper criptosistemas populares y supuestamente seguros cronometrando cuidadosamente cuánto tiempo le llevaba a un ordenador descifrar un mensaje cifrado. Los diseñadores de criptosistemas no habían imaginado que un atacante pudiera emplear ese método, de modo que su sistema era vulnerable al mismo.
A lo largo de los años se han producido otros ataques utilizando todo tipo de métodos distintos. Las vulnerabilidades Meltdown y Spectre, descubiertas hace poco y que aprovechan fallos de diseño en procesadores informáticos, son también ataques de canal lateral. Permiten que aplicaciones maliciosas fisguen en los datos de otras aplicaciones incluidas en la memoria del ordenador.
Vigilancia sobre la marcha
Los dispositivos móviles son objetivos perfectos para este tipo de ataque desde una dirección inesperada. Están llenos de sensores, que por lo general incluyen al menos un acelerómetro, un giroscopio, un magnetómetro, un barómetro, hasta cuatro micrófonos, una o dos cámaras, un termómetro, un podómetro, un sensor de luz y un sensor de humedad.
Las aplicaciones pueden acceder a la mayoría de estos sensores sin pedir permiso al usuario. Y combinando lecturas de dos o más dispositivos, a menudo es posible hacer cosas que tal vez ni usuarios ni diseñadores de teléfonos ni creadores de aplicaciones esperarían.
En un proyecto reciente. desarrollamos una aplicación capaz de determinar qué letras marcaba un usuario de móvil en el teclado de la pantalla, sin leer los datos del teclado. Lo que hicimos fue combinar información del giroscopio y los micrófonos del teléfono.
Cuando un usuario pulsa en diferentes partes de la pantalla, el propio teléfono rota ligeramente de modos que pueden ser medidos por los giroscopios micromecánicos de tres ejes incluidos en la mayoría de los teléfonos actuales. Es más, la pulsación en la pantalla produce un sonido que puede grabarse en cada uno de los múltiples micrófonos de un teléfono. Una pulsación cerca del centro no moverá mucho el aparato, llegará a ambos micrófonos al mismo tiempo, y sonará aproximadamente igual en todos ellos. Sin embargo, una marcación en el extremo inferior izquierdo de la pantalla hará rotar el teléfono hacia la izquierda y hacia abajo; llegará antes al micrófono izquierdo; y sonará más en los micrófonos situados cerca de la parte inferior de la pantalla y menos en los situados en las demás partes del aparato.
Uniendo los datos de movimiento y sonido podíamos determinar qué tecla había pulsado un usuario, y acertamos en más del 90% de los casos. Sería posible añadir este tipo de función a cualquier aplicación y al usuario le pasaría desapercibida.
Determinar una ubicación
Después nos preguntamos si una aplicación maliciosa podría inferir el paradero de un usuario, incluidos su lugar de residencia y su trabajo, y las rutas que recorría, información que la mayoría de los usuarios considera muy personal.
Queríamos saber si es posible determinar la ubicación de un usuario empleando únicamente sensores que no requieren su permiso. La ruta tomada por un conductor, por ejemplo, puede simplificarse en una serie de giros, cada uno en una dirección determinada y con un cierto ángulo. Con otra aplicación, utilizamos la brújula de un teléfono para observar en qué dirección avanzaba una persona. Esa aplicación usaba también el giroscopio del teléfono, midiendo la secuencia de ángulos de giro de la ruta recorrida por el usuario. Y el acelerómetro indicaba si un usuario estaba parado o en marcha.
Midiendo una secuencia de giros y encadenándolos a medida que la persona avanzaba, podíamos trazar un mapa de sus movimientos. (En nuestro trabajo, sabíamos en qué ciudad estábamos rastreando a las personas, pero podría emplearse un método similar para descubrir en qué ciudad se encuentra la persona).
Supongamos que observamos a una persona situada en Boston que avanza hacia el suroeste, gira 100 grados a la derecha, efectúa un marcado giro de 180 grados para dirigirse al sureste, gira ligeramente a la derecha, continúa recto, después tuerce suavemente hacia la izquierda, avanza rápido hacia la derecha, dando más sacudidas de lo usual en una carretera, gira 55 grados a la derecha, y 97 a la izquierda, y por último tuerce ligeramente hacia la derecha antes de parar.
Desarrollamos un algoritmo para comparar estos movimientos con un mapa digitalizado de las calles de la ciudad en la que estaba el usuario, y determinamos cuáles eran las rutas más probables que podía tomar una persona. Esos movimientos establecieron una ruta en coche que partía de Fenway Park y llegaba a la Universidad Northeastern pasando por Back Bay Fens y el Museo de Bellas Artes.
Incluso logramos perfeccionar nuestro algoritmo para incorporar información sobre curvas de carreteras y límites de velocidad que ayudase a reducir las opciones. Obtuvimos nuestros resultados en forma de lista de rutas posibles clasificadas por la probabilidad que el algoritmo pensaba que tenían de coincidir con la ruta real. Aproximadamente la mitad de las veces, en la mayoría de las ciudades en las que probamos, la ruta real seguida por un usuario se encontraba en las 10 primeras entradas de la lista. Perfeccionar más los datos de los mapas, las lecturas de los sensores y el algoritmo de coincidencias podría mejorar sustancialmente nuestra precisión. Nuevamente cualquier creador malicioso podría añadir esta capacidad a una aplicación, permitiendo que aplicaciones de apariencia inocente espiasen a sus usuarios.
Nuestro grupo de investigación sigue investigando cómo pueden emplearse los ataques de canal lateral para revelar una variedad de informaciones personales. Por ejemplo, medir cómo se mueve un teléfono móvil mientras una persona camina podría indicar cuántos años tiene, si es hombre (con el teléfono en un bolsillo) o mujer (por lo general en un bolso), o incluso información sobre la salud al analizar el equilibrio de una persona sobre sus pies o con qué frecuencia tropieza. Damos por supuesto que nuestro teléfono puede comunicarle más cosas a un fisgón, y esperamos descubrir qué, y cómo, para protegernos de ese tipo de espionaje.
